车车通信的列控系统动静结合安全策略

2021-03-07 14:00冯浩楠臧一佩
科学技术与工程 2021年4期
关键词:前车高风险变迁

冯浩楠, 范 楷, 滕 达, 臧一佩

(1.中国铁道科学研究院集团有限公司通信信号研究所, 北京 100081; 2.国家铁路智能运输系统工程技术研究中心, 100081, 北京)

随着移动通信、计算机和自动化控制技术的不断发展,铁路控制系统的控制效率不断提升。目前,基于通信的列车控制(communication-based train control, CBTC)系统凭借精准列车控制、连续列车间隔控制和超速防护等优点,成为城市轨道交通信号系统的首选[1]。为进一步挖掘CBTC系统运行潜力,提出了车车通信的列控(vehicle-based train control, VBTC)系统[2],通过列车之间的直接通信和协调控制,实现以列车为中心和车地功能一体化,减少轨旁控制系统数量,降低信号系统投资成本和便利后期维护[3]。目前VBTC系统仍处于研究阶段,成熟的应用案例较少。Briginshaw[4]、陈姣[5]、姜宏阔等[6]提出了各自的VBTC系统,架构存在较大的区别。针对形式各异的VBTC系统,如何制定一套通用安全策略,保证新系统的安全性是亟待解决的问题。方宇恒等[7]基于信息物理系统(cyber physical system, CPS)架构对VBTC系统进行了模块化设计和安全控制功能设计。陈坦[8]研究了北京交通大学的VBTC系统信息同步的移动授权(moving authority, MA)计算防护和相对追踪模式下的安全控制方法,但是提出的安全方案理论性较强,缺少工程应用的实操性;防护功能验证也停留在仿真实验阶段,未对新功能进行形式化安全验证。

现从VBTC系统架构和行为出发,提出动静结合安全防护策略:在系统架构方面,VBTC系统的信息物理属性包含功能安全和信息安全两大特点,为静态防护安全架构的建立提供了出发点;从系统运行角度方面,重点针对VBTC系统中新的运行模式,基于PN网(Petri network)寻找系统动态状态中的高风险因素,制定动态防护措施确保安全。动静结合的安全策略立足于VBTC系统的特点,对系统的特性和行为进行全面分析,统一的安全策略为VBTC系统设计和实现提供了切实可行的安全指导,保障系统安全运行。

1 VBTC系统

与CBTC系统相比,VBTC系统移除大量的轨旁控制设备,将其控制功能完全转移到车载系统中实现。虽然VBTC的形式各异,但关键系统和基本原理基本相同,主要包括:自动列车监控系统(automatic train supervision, ATS)、对象控制器(object controller, OC)、VOBC和数据通信系统(digital communication system, DCS)系统。ATS系统将运行计划图发送给车载控制系统(vehicle on board contro-ller, VOBC),并实时与OC保持通信;列车根据运行计划图运行,自主排列行进进路,当进路中需要转到道岔时,VOBC系统通过给OC发送道岔转动的控制命令,同时负责列车行进安全,并实时向ATS系统报告列车运行状况。系统间的信息交互如图1所示。

图1 VBTC系统信息交互Fig.1 Information interaction of VBTC system

按照信息物理系统架构划分,VBTC系统自上向下可以分为应用层、协同处理层、网络层和感知层4个层次。应用层主要指ATS系统,实现人机交互和运营决策。协调处理层主要指车载控制处理设备,具体指VOBC系统,协同运转保证车辆安全运行。网络层主要指DCS系统,网络层通过WIFI网络或者LTE移动网络实现车载系统之间数据、信息的交互,满足实时通信的功能。感知层主要指OC控制的各种物理设备,具备包括道岔转辙机、紧停按钮、防淹门、安全门和应答器等,实现物理环境数据的传感;执行系统发送的控制命令。其中,VBTC系统的信息属性集中在网络层、协调处理层和应用层;物理属性体现在感知层。VBTC系统的信息物理架构如图2所示。

图2 VBTC系统信息物理系统架构Fig.2 Cyber-physical system architecture for VBTC system

2 VBTC系统的静态安全分析及防护策略

2.1 VBTC系统静态风险分析

根据威胁来源,系统的安全属性可分为功能安全和信息安全两类。功能安全威胁来自系统内部,与系统自身本体密切相关,对系统可用性、人和环境造成危害;信息安全的威胁主要来源于系统外部,是外部因素利用系统缺陷对系统进行攻击,除对系统、人和环境造成危害,还会包括信息泄露[9]。

VBTC的4层架构中,应用层是与用户直接操作有关,具体指ATS设备与值班员之间的信息交互,由于应用系统种类繁多,安全需求差异较大,给整个系统的安全性带了挑战。协同处理层主要指车载设备在收集到地面和相邻车载数据后,需要进行算法处理并正确指导列车行进,该层的安全算法直接关系到列车运行安全。网络层用于数据传输汇聚传输,容易受到DoS等网络的攻击,同时异构网络存在数据格式、协议认证不同的问题,易成为系统的安全隐患。感知层是系统的基础,属于物理领域范畴,物理设备种类繁多都部署在无人值守的环境中,容易成为系统的安全隐患。

2.2 VBTC系统的静态安全防护技术

VBTC的应用层主要指ATS和操作员之间的信息交互,安全防护重点关注在对人员身份的鉴别和控制,可采用身份鉴定技术措施和规章制度相结合的方式确保操作过程的安全。

VBTC的协调处理层具体指车载系统从网络层接收到前后车数据和地面ATS数据后,进行的控车运算处理,实现列车之间平稳安全行驶。数据处理和逻辑算法处理是本层的核心,数据处理可采用二取二方法确保数据安全性,逻辑算法中采取防御编程策略保证逻辑的正确性。

VBTC的网络层采用的安全措施需要保证数据在通信过程中的安全性,包括完整性、一致性和机密性等要求。目前在铁路、城市轨道交通控制系统中应用的RSSP-Ⅰ和RSSP-Ⅱ的安全协议,通过采用序列号、目的标识、时间戳、加密技术等技术应对网络传输中出现的数据重复、删除、重排序、损坏和延迟等安全风险,VBTC系统可以沿用此类安全协议来满足安全通信的要求。

VBTC的感知层需要重点关注设备的物理安全,确保基础数据的采集和控制命令的有效执行。重点关注道岔、屏蔽门等轨旁设备的安全,这些设备提供的进路信息直接关系到行车安全。OC为根据车辆信息控制道岔运转,因此要确保其安全可靠。

国际标准ISA-62443-1-1将系统的安全属性分为身份验证控制、用户控制、系统完整性、数据机密性、受限数据、响应及时性和资源可用性7个属性。表1总结了工业控制系统和轨道交通控制系统中常用的安全防护技术,以及其与风险威胁、安全属性的对应关系。

表1 轨道交通控制系统安全防护技术

续表1

基于CPS架构,轨道交通控制系统成熟的安全技术在信息和物理两个领域,在VBTC系统4个层次的静态安全防护策略如表2所示。其中,信息领域特性的部分安全技术可以在多个层次发挥作用;而类似波分复用物理领域技术仅对感知层的信息安全起到作用。

3 VBTC系统的动态安全分析及防护策略

3.1 VBTC系统运行场景

车车通信为VBTC系统新增核心场景,VOBC系统识别出运营路径上唯一的前车,并根据识别出的前车ID向其发起通信,前车进行无条件应答。识别前车的基础是车载设备具备全线列车信息,ATS发送的行车计划,以及OC提供的进路信息。车载车车通信模块在识别出唯一前车后,向前车发起通信,查询前车状态,前车无条件应答,向后车提供自身速度、加速度等列车状态信息。VOBC系统中的联锁模块在此前已经与OC协同完成进路的排列过程,所以应能提供进路的终点给车载MA计算模块,车载MA计算模块综合前车状态及进路状态信息,计算出列车的MA终点。整个场景如图3所示。

由图3可知,车车通信场景涉及11个通信流程。为了降低模型的复杂度,增强关键场景模型识别度,将车车通信场景分为与前车通信和车载MA计算两个场景进行分析。

表2 VBTC系统静态安全防护策略

图3 车车通信场景Fig.3 Scenario of train to train communication

3.2 与前车通信场景的动态安全分析

3.2.1 与前车通信场景的PN建模

与前车通信场景的PN模型如图4所示,表3描述了PN模型中的各库所和变迁的物理意义。该模型库所表达本车、前车车载设备及前车信息的状态;变迁则是表示信息编制、生成、传递的全过程。模型的初始状态是M0={P1,P12},表示车辆已成功辨识唯一前车,但未与前车建立联系且DCS、本车、前车车载设备均无故障的状态。由此状态向后发展完成整个过程,进一步得到模型的可达标识集,如表4所示。

图4 与前车通信场景的PN模型Fig.4 PN model of communication with front train

表3 与前车通信场景PN模型库所及变迁含义

3.2.2 与前车通信场景的风险分析

表4 与前车通信场景Petri网可达标志集

表5 与前车通信场景PN模型的高风险及对应临界状态集

由表5可以分析出,当前车车载系统故障情况下生成前车信息(P10库所),DCS系统故障情况下进行信息传递(P14,P4库所),以及车载设备故障情况下进行前车信息解析(P19库所)时,系统会产生安全问题。也就是说,M14、M15、M5、M17、M26、M27均是疑似高风险状态。但进一步分析可以看出,列车发出的前车状态申请信息在传递过程中产生的延时或错乱(P4库所)并不会产生安全问题,所以该系统模型的高风险状态为M14、M15、M17、M26、M27。对模型进行可达性分析,可以得出该模型的状态可达图,如图5所示。由图5可以看出,从原始状态M0到可达状态M24交织成网状,系统运行状态的变化标识较多。根据与前车通信场景的PN模型动态分析系统的各个状态标识的可达性,从而寻找危险状态集,如表5所示。

图5 与前车通信场景Petri网状态可达图Fig.5 Reachability map of Petri network of communication with front train

3.2.3 与前车通信场景的安全策略

表5中的高风险状态产生的原因,以及如何使临界状态下的系统不向高风险状态变迁原因和相应的安全策略如下。

(1)M14状态产生的原因是前车车载系统在故障情况下编制前车状态信息并发送,若列车收到有错误的前车状态信息则会直接影响列车MA计算,从而产生安全问题。M11为该高风险状态的临界状态,M11通过变迁T8可达高风险状态M14,所以,防止T8变迁点火,可以防止系统到达高风险状态M14。防止T8变迁的物理意义可以解释为在前车车载系统故障的情况下(库所P8),车载系统应具备较高的自我诊断能力,正确识别出自身故障状态,并且切段在故障情况下的输出。也就是说,车载系统应具备较高的安全等级。同理,M15状态的情况与M14相同,不再赘述。

(2)M17状态产生的原因是DCS系统在故障情况下,进行前车状态信息的传递。这种情况下前车状态信息在传递过程中会产生延时或错乱,列车应用延时或错乱的前车状态信息进行MA计算,会产生安全问题。M13为高风险状态M17的临界状态,临界状态M13通过变迁T13的点火到达高风险状态M17,所以,防止变迁T13点火,可以防止系统到达高风险状态M13。防止变迁T13点火的物理意义可以解释为,在DCS设备故障时,应避免信息的传递,使设备导向安全。同时,在设备的接收端,也应具备相应的信息验证机制,对信息进行实时性及正确性的验证,也即提高变迁T14的点火条件。

(3)M26状态产生的原因是前车车载系统在故障情况下解析前车状态信息并用于计算,显然会直接影响列车MA计算,从而产生安全问题。M21为该高风险状态的临界状态,M21通过变迁T19可达高风险状态M26,所以,防止T19变迁点火,可以防止系统到达高风险状态M26。防止T19变迁的物理意义可以解释为,在车载系统故障的情况下(库所P17),车载系统应具备较高的自我诊断能力,正确识别出自身故障状态,并且切段在故障情况下的输出。也就是说,车载系统应具备较高的安全等级。同理,M27状态的情况与M26相同,不再赘述。

3.3 车载设备MA计算的动态安全分析

3.3.1 MA计算场景的PN建模

车载设备MA计算的PN模型如图6所示,PN网中的各库所和变迁的物理意义如表6所示。模型库所描述车载设备和轨旁设备的状态;变迁表示MA计算过程。模型的初始状态是M0={P1,P2,P4},表示车辆收到前车状态信息且车载设备轨旁设备均无故障的状态。由此状态向后发展完成整个过程,可以得到模型的可达标识集,如表7所示。

3.3.2 MA计算场景的风险分析

当车载系统故障情况下进行MA计算(P3库所),轨旁设备故障(道岔不密贴)且OCU系统故障使得故障无法被车载系统得知情况下进行MA计算(P5、P7库所同时存在令牌)时,系统会产生安全问题。即M1、M4、M5、M7均是高风险状态。对模型进行可达性分析,可以得出该模型的状态可达图,如图7所示。MA计算场景的PN动态分析模型,可以分析系统的各个状态标识的可达性,从而寻找危险状态集,如表8所示。

图6 MA计算场景PN模型Fig.6 PN model of MA calculation

表6 MA计算场景的各库所和变迁的物理意义

表7 MA计算场景PN模型的可达标志集

3.3.3 MA计算场景的安全策略

根据图7和表8的信息,逐项分析系统的高风险状态以及如何使临界状态下的系统不向高风险状态变迁原因和相应的安全策略如下。

(1)M1状态产生的原因是车载系统在故障情况下计算MA,从而产生安全问题。M0为该高风险状态的临界状态,M0通过变迁T3可达高风险状态M1,所以,防止T3变迁点火,可以防止系统到达高风险状态M1。防止T3变迁的物理意义可以解释为提高车载系统故障可靠性及安全性,车载系统应具备较高的自我诊断能力,正确识别出自身故障状态,并且切段在故障情况下的输出。也就是说,车载系统应具备较高的安全等级。同理,M4状态的情况与M1相同,不再赘述。

(2)M5状态产生的原因是轨旁系统故障如道岔转动不到位且OC设备故障未能对轨旁设备故障进行识别,列车在这种情况下进行MA计算会跨越故障的轨旁设备,从而导致安全问题,但这种情况属于一种故障叠加。M2为高风险状态M5的临界状态,临界状态M2通过变迁T1的点火到达高风险状态M5,所以,防止变迁T8点火,可以防止系统到达高风险状态M5。防止变迁T8点火的物理意义可以解释为,提高OC故障可靠性及安全性,OC应具备较高的自我诊断能力,正确识别出自身故障状态,并且切段在故障情况下的输出,即OC系统应具备较高的安全等级。同理,M7状态是M1的与M5情况的叠加,不再赘述。

图7 MA计算场景Petri网状态可达图Fig.7 Reachability map of MA calculation

表8 MA计算场景PN模型的高风险及对应临界状态集

4 结论

VBTC系统作为全新的信号系统,其安全性仍然是系统设计和实现所关注重点。从动静结合的角度,提出了VBTC系统的安全策略框架。静态分析主要针对系统架构中的物理和信息属性,从功能安全和信息安全两个角度详述和分析了在系统的感知层、网络层、协调处理层、应用层的安全隐患的特性,通过聚合20种在轨道交通控制系统中主流的安全技术措施,形成静态安全框架,涵盖了VBTC系统中各个层次、不同特点的风险对应的安全防护技术策略,为多种架构形式的VBTC系统的实际操作提供了普遍适用的参考指导。动态安全策略是针对VBTC系统新功能的动态场景进行分析,基于PN进行建模后,借助可达标识定位高风险状态并制定相应安全对策,为VBTC系统实际运行过程中的故障分析提供指导依据。随着人工智能、大数据等技术的不断更新,新的智能安全技术也将不断涌现,必将推动包括VBTC系统在内的轨道交通控制系统的安全技术不断发展。

猜你喜欢
前车高风险变迁
上海市高风险移动放射源在线监控系统设计及应用
小渔村的变迁
高风险富水隧道施工技术经济分析
回乡之旅:讲述世界各地唐人街的变迁
一纸婚书见变迁
清潩河的变迁
基于ACC系统的目标车辆换道与出入弯道状态辨识算法∗
高风险测试对英语学习的反拨效应研究
汽车追尾哪种情况无需负责
迎接高风险的用水时代——读《大水荒:水资源大战与动荡未来》